image

Spionagegroep steelt Firefoxwachtwoorden van slachtoffers

woensdag 22 mei 2019, 16:06 door Redactie, 4 reacties
Laatst bijgewerkt: 23-05-2019, 09:22

Een bekende spionagegroep zoekt op besmette computers handmatig naar wachtwoorddatabases van Firefox, Opera en e-mailclient The Bat! om die vervolgens te stelen. Het gaat om een groep aanvallers die bekendstaat als Fancy Bear, APT28, Pawn Storm en Strontium, zo meldt antivirusbedrijf ESET.

Om toegang tot de systemen van slachtoffers te krijgen maken de aanvallers gebruik van de Zebrocy-backdoor. De nieuwste versie van Zebrocy wordt verspreid via linkjes in e-mailberichten. De linkjes wijzen naar een archiefbestand dat weer een pdf-document en een .exe-bestand bevat. Het .exe-bestand laat als afleidingsmanoeuvre het pdf-document zien, terwijl in de achtergrond de malware wordt gedownload. Via de malware voeren de aanvallers handmatig acties op de besmette computer uit, zoals het maken van screenshots en verzamelen van informatie.

Om meer informatie te verzamelen uploaden de aanvaller zogeheten 'dumpers' waarmee bestanden worden gedownload. De aanvallers hebben het daarbij voorzien op de certificatendatabase, privésleutels en versleutelde wachtwoordendatabase van Firefox, alsmede de wachtwoordendatabases van Opera en The Bat!.

Volgens de onderzoekers worden de commando's om de databases te stelen handmatig door de aanvallers uitgevoerd. Naast de databases kunnen ze via de backdoor ook andere bestanden van het slachtoffer downloaden, zoals Microsoft Office-bestanden, afbeeldingen en archiefbestanden.

Reacties (4)
22-05-2019, 16:20 door Anoniem
Pawn Storm en Strontium
Ik snap um.
Dit is natuurlijk een cryptische uitdrukking voor "when the shit hits the fan".
Conclusie: er zitten vast (ook) nederlandstaligen bij die groep.

Pink Pantser
22-05-2019, 17:36 door Anoniem
Door Anoniem: Conclusie: er zitten vast (ook) nederlandstaligen bij die groep.
Behalve dan dat die namen worden uitgedeeld door allerhande "cyber" "security" "bedrijfjes".
22-05-2019, 17:56 door Anoniem
Door Anoniem:
Pawn Storm en Strontium
Ik snap um.
Dit is natuurlijk een cryptische uitdrukking voor "when the shit hits the fan".
Conclusie: er zitten vast (ook) nederlandstaligen bij die groep.

Pink Pantser

Misschien moet je het wat meer ‘elementair’ bekijken
22-05-2019, 20:49 door Anoniem
De gemiddelde eingebruiker zal wel buiten deze gerichte aanvallen vallen.
Lees: https://www.securityweek.com/researchers-dissect-tool-used-infamous-russian-hacker-group

Doorontwikkeld is en wordt de Zebrocy malcode naar verluidt door de Sednit groep.
analyse https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/

Deze groep is een "alleged Russian Hacker group", met zebrocy gericht tegen functionarissen van "Azerbaijan, Bosnia and Herzegovina, Egypt, Georgia, Iran, Kazakhstan, Korea, Kyrgyzstan, Russia, Saudi Arabia, Serbia, Switzerland, Tajikistan, Turkey, Turkmenistan, Ukraine, Uruguay and Zimbabwe". Komt het met een bordje Russische "vloot-spaghetti" of meer een verkapte onvervalste American hamburger - dat is in het moderne cybertheater zeer moeilijk vast te stellen. De vingers hier wijzen allemaal naar Kwatta, dus hou het daar maar op. Wordt het niet binnen de Russische Federatie gebruikt is het waarschijnlijk wel Russisch, men werkt niet in eigen achtertuin meestal. Ook dit niet duidelijk bij staatsacteurs,

En dan zit je weer met het zeer FP-gevoelige Delphi detecteren, met vele heuristieke fail-detecties, zeker als het niet gesigneerd binnen komt. Maar de route naar binnen is macro malware via mail documenten, blijft een zwakke schakel,
bijvoorveeld i.p.v. gmail dan toch maar een betaalde veilige maildienst a 20 euro per adres.Voor je broodnodige rust en veiligheid.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.